YD∕T 3816-2021 以太网接入方式下源地址验证技术要求 SLAAC场景(通信).pdf
《YD∕T 3816-2021 以太网接入方式下源地址验证技术要求 SLAAC场景(通信).pdf》由会员分享,可在线阅读,更多相关《YD∕T 3816-2021 以太网接入方式下源地址验证技术要求 SLAAC场景(通信).pdf(21页珍藏版)》请在咨信网上搜索。
1、 ICS 33.040.40M32中 华 人 民 共 和 国 通 信 行 业 标 准YDYD/T 以太网接入方式下源地址验证技术要求SLAAC 场景Technical requirements of ethernet source address validation improvement for SLAAC(报批稿)-发布-实施中华人民共和国工业和信息化部 发布YD/T i 目 次 前前 言言 .III 1 1 范围范围 .1 2 2 规范性引用文件规范性引用文件 .1 3 3 术语、定义和缩略语术语、定义和缩略语 .1 3.1 术语和定义 .1 3.2 缩略语 .2 4 4 简介简介 .
2、3 5 5 原理概述原理概述 .3 6 6 地址所有权仲裁的基本原理地址所有权仲裁的基本原理 .4 7 7 背景及相关协议背景及相关协议 .4 8 8 概念数据结构概念数据结构 .5 8.1 绑定状态表(BINDING STATE TABLE,BST) .5 8.2 过滤表(FILTERING TABLE,FT) .6 9 9 绑定状态描述绑定状态描述 .6 1010 无状态地址分配源地址验证场景无状态地址分配源地址验证场景 .6 1111 绑定锚属性绑定锚属性 .6 11.1 “SAVI 验证”属性 .7 11.2 “SAVI-RA-信任”属性 .7 11.3 “SAVI-SAVI”属性 .
3、7 1212 前缀配置前缀配置 .7 1313 绑定建立绑定建立 .8 13.1 控制报文监听过程 .8 13.1.1 初始化 .8 13.1.2 从 DETECTION 状态的状态转移 .9 13.1.3 BOUND 状态之后 .9 13.2 “DAD 监听”的状态机 .10 1414 辅助绑定过程辅助绑定过程 .10 14.1 速率限定的数据触发绑定过程 .11 YD/T ii 14.1.1 “SAVI 数据触发”属性 .11 14.1.2 数据触发的绑定过程 .11 14.2 计数器触发的过程 .11 14.2.1 “SAVI 计数器触发”属性 .11 14.2.2 计数器触发的绑定过程
4、 .12 14.3 扩展控制包监听过程 .12 14.3.1 “SAVI-扩展监听”属性 .12 14.3.2 扩展控制包监听过程 .12 1515 过滤过程过滤过程 .13 15.1 数据包过滤 .13 15.2 控制包过滤 .13 1616 地址冲突检测消息的格式及发送地址冲突检测消息的格式及发送 .14 16.1 地址冲突检测 .14 1717 绑定删除绑定删除 .14 1818 处理绑定锚断链事件处理绑定锚断链事件 .14 1919 地址检测的冲突处理地址检测的冲突处理 .15 2020 检测中过滤检测中过滤 .15 2121 绑定数限制绑定数限制 .15 2222 组播侦听发现组播侦
5、听发现 MLDMLD 的相关考虑的相关考虑 .16 2323 对链路本地源地址绑定更宽容对链路本地源地址绑定更宽容 .16 2424 处理二层路径变化处理二层路径变化 .16 2525 状态恢复状态恢复 .16 2626 相关常量相关常量 .17 2727 安全考虑安全考虑 .17 YD/T iii 前 言 本标准是以太网接入方式下源地址验证技术要求系列标准之一,本系列标准的名称和结构预计如下: IP 源地址验证技术要求框架 以太网接入方式下源地址验证技术要求 框架 以太网接入方式下源地址验证技术要求 DHCPv4 场景 以太网接入方式下源地址验证技术要求 DHCPv6 场景 以太网接入方式下
6、源地址验证技术要求 SLAAC 场景 以太网接入方式下源地址验证技术要求 多种地址分配方式共存场景 公众无线局域网接入方式下源地址验证技术要求 以太网接入方式下源地址验证技术要求 管理信息库 本标准按照 GB/T 1.1-2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位:清华大学。 本标准主要起草人:毕军、姚广、吴建平、胡虹雨、徐天然、李丹等。 YD/T 1以太网接入方式下源地址验证技术要求以太网接入方式下源地址验证技术要求 SLAACSLAAC 场景场景 1 范围 本标准规定了以
7、太网接入方式下无状态地址分配场景的源地址验证技术要求,主要包括无状态 IP地址和绑定锚之间建立绑定锚的过程、其他辅助的绑定过程、绑定表用于报文过滤的过程等。 本标准适用于以太网接入方式下无状态地址分配场景的源地址验证。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 IETF RFC3307 IPv6 组播地址分配指导 Allocation Guidelines for IPv6 Multicast Addresses IETF RFC4429 IPv6 乐观
8、重复地址检测 Optimistic Duplicate Address Detection (DAD) for IPv6 IETF RFC4861 IPv6 邻居发现协议 Neighbor Discovery for IP version 6 (IPv6) IETF RFC4862 IPv6无状态地址自动分配协议 IPv6 Stateless Address Autoconfiguration,SLAAC IETF RFC5227 IPv4 地址冲突检测 IPv4 Address Conflict Detection IETF RFC6620 本地 IPv6 地址的先到先服务源地址验证改进方法
9、 FCFS SAVI : First-Come, First-Served Source Address Validation Improvement for Locally Assigned IPv6 Addresses IETF RFC7039 源地址验证改进框架 Source Address Validation Improvement ( SAVI )Framework IETF RFC7113 IPv6路由器广播保护(RA-Guard)的Implementation Advice for IPv6 Router Advertisement YD/T 2实现建议 Guard 3 术语、
10、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 源地址验证 Source address validation 在IP报文路由寻址过程中,对其携带的源地址的有效性进行验证。 3.1.2 接入网源地址验证/源地址验证增强 Source address validation improvement 在主机所在接入网执行的源地址验证技术, 将不允许主机假冒任意非合法分配或配置的地址。 是源地址验证的第一步关卡,因此谓之源地址验证增强。 3.1.3 绑定表 Bindings 监听地址分配过程,形成的合法IP地址与对应绑定锚的组合信息。 3.1.4 绑定锚 Binding a
11、nchor 主机的网络连接部件的链路层属性,是不容易被假冒的属性,可以是多个属性的组合,如主机MAC 地址+交换机端口。 3.2 缩略语 下列缩略语适用于本标准。 ARP Address Resolution Protocol 地址解析协议 ARP RES ARP Response ARP 响应 BST Binding State Table 绑定状态表 YD/T 3DHCP Dynamic Host Configuration Protocol 动态主机配置协议 FCFS First-Come, First-Served 先到先服务 Gra ARP REQ Gratuitous ARP Re
12、quest 免费 ARP 请求 MLD Multicast Listener Discover 组播侦听发现 NA Neighbor Advertisement 邻居通告消息 ND Neighbor Discovery 邻居发现 NDP Neighbor Discovery Protocol 邻居发现协议 RA Router Advertisement 路由通告消息 SAVI Source Address Validation Improvement 源地址验证增强 SLAAC Stateless Address Autoconfiguration 无状态地址分配协议 STP Spanning
13、-Tree Protocol 生成树协议 RSTP Rapid Spanning Tree Protocol 快速生成树协议 TRILL Transparent Interconnection of Lots of Links 多链接透明互联 4 简介 本标准描述了在无状态地址和绑定锚之间建立绑定关系的过程(参考RFC7039(SAVI 技术框架) ) 。关于此过程的其他相关细节也在本标准中指定。 这种绑定关系可以用来过滤带有假冒 IP 地址的数据包。在RFC7039(SAVI 技术框架)中定义了如何根据其环境和配置使用这种绑定关系,同时也指定了锚点的定义和示例。 这种绑定方法一部分是受到了
14、SAVI-FCFSRFC6620工作的启发。与 SAVI-FCFS 中基于数据触发过程有所不同的是,此规范主要集中于控制平面触发过程。辅助绑定过程是为了弥补控制包监听的不足。 5 原理概述 YD/T 4设计本机制 (本标准详细定义的) 是为了提供一种主机级别粒度的 IP 源地址验证, 用以作为BCP38的补充。该机制部署在接入设备上(包括接入交换机、无线接入点/控制器等) ,主要执行 NDP/ARP 监听以建立无状态 IP 地址和对应锚点之间的绑定关系。这种绑定关系可以用来验证数据包中的源地址。 6 地址所有权仲裁的基本原理 在无状态场景中,节点可以给自己“分配” 地址,并且执行不可靠的重复地
15、址检测来检查地址是否正在被使用。对于 IPv6 地址而言,由于其庞大的地址空间,冲突发生的几率非常小,因此 DAD 不可靠性在现实中并不严重。然而, (一旦发生, )则 DAD 的不可靠性使得源地址验证很麻烦。对于 SAVI 设备来说,当冲突发生时确定哪个节点可以使用该地址是非常困难的、甚至是不可能的。 目前,SAVI-FCFS 使用“先到先服务” 的原则来确定地址的所有权。这个原则是正确的,但存在的问题是如何确定哪个节点是最先使用地址的节点。由于 DAD 的不可靠性,最先给自己分配地址的节点,可能不是最先使用该地址发送流量(被 SAVI 设备探测到)的节点。SAVI-FCFS 要求设备发送探
16、测消息来确定地址是否正在被其他节点使用。然而,这一工作可能是徒劳的,因为假冒节点可以应答任何探测消息,而且探测信息仍然不一定能可靠地到达预期目标节点。 经过长时间的尝试,最终发现,由于 DAD 和 ND 的不可靠性,最佳仲裁策略并不存在。因为一套完美仲裁策略必须依赖一个可靠的 DAD。可以通过简单的推论来证明这一点:最佳仲裁方案=最先给自己分配地址获得该地址的所有权=最先执行 DAD 的节点得到此地址=仲裁者必须知道谁最先执行DAD=DAD 必须可靠地被 SAVI 设备监测到。 (此证明也可逆推。 ) 最终,本标准发现寻找最佳仲裁方案都是徒劳的。它与选择根据数据触发还是控制包触发无关。除非无状
17、态分配变为可靠的,否则没有解决方案是安全的。 在本标准中,为解决地址所有权冲突问题,本标准决定遵循RFC4862-无状态地址分配的唯一标准。这意味着,只要一个节点成功地完成了 DAD 操作(包括在数据触发情况下 SAVI 设备执行的 DAD 操作) ,此地址就必须与其绑定。即允许一个地址与多个锚点进行绑定,解决了地址所有权的冲突问题。绑定只有在生存周期到期时才会被删除,该生存周期即为从 RA 中学到的前缀生存时间。于是本标准实现了一个简单的解决方案,其安全性依赖于RFC4862的可靠性。 7 背景及相关协议 YD/T 5此机制是 SAVI 解决方案RFC7039(SAVI 技术框架)的一个实例
18、,专门用于无状态的地址情况,包括 IPv6 无状态自动配置地址、手动配置的非静态 IPv6 及 IPv4 地址。 在 IPv6 中,IPv6 无状态自动配置RFC4862是一种广泛部署的地址分配机制。节点可以自主生成一个地址,并使用重复地址检测(RFC4862)来自动配置该地址。RFC4862明确要求任何 IPv6 地址都必须执行重复地址检测,包括 DHCPv6 地址。这是基于控制包监听的 SAVI 解决方案的基础。 RFC4861中定义了邻居发现协议,这是 IPv6 地址分配的一个必要组成部分。 IPv4 没有无状态的自动配置机制,因为 IPv4 自动生成地址的冲突几率比较大。但是,在某些场
19、景下,允许接口在指定前缀范围内配置地址,而不是为每个接口都分配一个静态地址。这些场景下的地址分配方法,本标准也认为其是无状态分配方法。 RFC5227中定义检测 IPv4 地址冲突的过程。目前还不需要实现。但该特性对于判定链路上 IPv4地址的唯一性非常有用。考虑到并不是所有的操作系统都支持RFC5227,本标准设计的解决方案会兼容不支持RFC5227的操作系统。 8 概念数据结构 本章对此机制中涉及的概念数据结构进行描述。 两个主要的数据结构分别用来记录绑定关系和它们的状态。考虑到数据平面和控制平面的分离,两个数据结构之间存在冗余。 8.1 绑定状态表(BINDING STATE TABLE
20、,BST) 这张表包含源地址和绑定锚之间的绑定状态,下表 1 为一个 BST 实例。条目以绑定锚和源 IP 地址为键。 每个条目都有一个使用期限域来记录该条目余下的使用期限, 以及一个状态域来记录该绑定关系的状态。 表 1 BST 实例 绑定锚绑定锚 地址地址 状态状态 使用期限使用期限 A IP_1 BOUND 65535 YD/T 6A IP_2 BOUND 10000 B IP_1 BOUND 1 8.2 过滤表(FILTERING TABLE,FT) 这张表包含绑定锚和地址之间的绑定关系,绑定锚为键,下表 2 为 FT 的一个实例。这张表不包含绑定关系的任何状态。这张表只用于过滤报文。
21、“访问控制列表”可以被视为这张表的一个实例。 表 2 FT 实例 绑定锚绑定锚 地址地址 A IP_1 B IP_2 9 绑定状态描述 本章对此机制涉及的绑定状态进行描述。 a) DETECTION 主机(或 SAVI 设备)发送了一条“免费 ARP 请求”或“重复地址检测邻居请求”等待对绑定地址的副本检测结果; b) BOUND 地址已通过副本检测,并与绑定锚绑定; 10 无状态地址分配源地址验证场景 下图 1 展示了允许使用无状态地址分配网络中的主要元素。节点无需任何其他服务器的帮助就可以自己生成地址。其他地址分配机制也可以在该网络中使用。 YD/T 7图 1 无状态场景 11 绑定锚属性
22、 本章对此机制中涉及的绑定锚属性进行详细说明。 RFC7039(SAVI 技术要求框架)对绑定锚进行了定义。每个绑定锚的属性都是可配置的。缺省状态下, 绑定锚没有属性。 可以给一个绑定锚配置一个或多个兼容的属性。 不过, 绑定锚也可以没有属性。 在本方案中,如果一个绑定锚没有属性,则来自该绑定锚的“路由器广播”消息必须被丢弃。但是,其他数据包不应该被丢弃。 11.1 “SAVI 验证”属性 当且仅当来自一个绑定锚的流量必须执行源地址验证时,必须为该绑定锚设置“SAVI 验证”属性。带有该属性的绑定锚上的报文过滤方法将在“第 15 章“中进行描述。 11.2 “SAVI-RA-信任”属性 当且仅
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- YDT 3816-2021 以太网接入方式下源地址验证技术要求 SLAAC场景通信 YD 3816 2021 以太网 接入 方式 源地 验证 技术 要求 SLAAC 场景 通信
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。